Функциите за защита защитават от заплахи, включително заплахи за самоличността на телефона и данните. Тези функции установяват и поддържат удостоверени комуникационни потоци между телефона и сървъра на Cisco Unified Communications Manager и гарантират, че телефонът използва само цифрово подписани файлове.

Версия 8.5 (1) и следващи на Cisco Unified Communications Manager включва защита по подразбиране, която осигурява следните функции за защита за Cisco IP телефони без работа с CTL клиента:

• Подписване на конфигурационните файлове на телефона

• Шифроване на конфигурационния файл на телефона

• HTTPS с Tomcat и други уеб услуги

Прилагането на защита в системата на Cisco Unified Communications Manager предотвратява кражба на самоличност на телефона и сървъра на Cisco Unified Communications Manager, предотвратява нарушаване на данните и предотвратява сигнализирането на повикванията и мултимедийния поток.

За да облекчи тези заплахи, мрежата за IP телефония на Cisco създава и поддържа защитени (шифровани) комуникационни потоци между телефона и сървъра, цифрово подписва файлове, преди да бъдат прехвърлени на телефона, и шифрова мултимедийни потоци и сигнализация на повикванията между Cisco IP телефони.

На телефоните се инсталира локално значим сертификат (LSC), след като изпълните необходимите задачи, които са свързани с функцията Certificate Authority Proxy (CAPF). Можете да използвате Cisco Unified Communications Manager Administration, за да конфигурирате LSC, както е описано в Ръководството за защита на Cisco Unified Communications Manager. Можете също да започнете инсталирането на LSC от менюто „Настройки за защита“ на телефона. Това меню ви позволява също да актуализирате или премахнете LSC.

LSC не може да се използва като сертификат на потребителя за EAP-TLS с WLAN удостоверяване.

Телефоните използват профила за защита на телефона, който определя дали устройството е незащитено, или защитено. За информация относно прилагането на профила за защита към телефона вижте документацията за конкретното издание на Cisco Unified Communications Manager.

Ако конфигурирате свързани със защитата настройки в Cisco Unified Communications Manager Administration, конфигурационният файл на телефона съдържа чувствителна информация. За да гарантирате поверителността на конфигурационния файл, трябва да го конфигурирате за шифроване. За подробна информация вижте документацията за конкретното издание на Cisco Unified Communications Manager.

Телефонът е в съответствие с Федералния стандарт за обработка на информация (FIPS). За да функционира правилно, режимът FIPS изисква размер на ключа 2048 бита или по-голям. Ако сертификатът е по-малък от 2048 бита, телефонът няма да се регистрира в Cisco Unified Communications Manager и телефонът няма да се регистрира успешно. Размерът на ключа за сертификат не е съвместим с FIPS се показва на телефона.

Ако телефонът има LSC, трябва да актуализирате размера на бутона LSC до 2048 бита или по-голям, преди да активирате FIPS.

Следващата таблица представя общ преглед на функциите за защита, поддържани от телефоните. За повече информация вижте документацията за вашата конкретна версия на Cisco Unified Communications Manager.

За да видите режима на защита, натиснете Настройки и се придвижете до Мрежа и услуги > Настройки за защита .

Следващата таблица съдържа съобщенията за аларми за актуализиране на надеждния списък и значението. За повече информация вижте документацията на Cisco Unified Communications Manager.

Менюто „Настройка на защитата“ предоставя информация за различните настройки за защита. Менюто освен това осигурява достъп до менюто за надежден списък и показва дали CTL или ITL файлът е инсталиран на телефона.

Следващата таблица описва опциите в менюто „Настройка на защитата“.

Cisco IP телефон поддържа удостоверяване с 802.1X.

Превключвателите на Cisco IP телефоните и Cisco Catalyst традиционно използват протокола за откриване на Cisco (CDP), за да се идентифицират и определят параметри, като разпределение на VLAN и изисквания за вътрешно захранване. CDP не идентифицира локално прикачените работни станции. Cisco IP телефон осигуряват механизъм за преминаване EAPOL. Този механизъм позволява на работна станция, прикачена към Cisco IP телефон, да предава EAPOL съобщения към удостоверителя 802.1X на LAN превключвателя. Механизмът за преминаване гарантира, че IP телефонът не действа като LAN превключвател за удостоверяване на крайна точка за данни преди достъп до мрежата.

Cisco IP телефон също така предоставят прокси механизъм EAPOL Logoff. Ако локално прикаченият компютър прекъсне връзката с IP телефона, LAN превключвателят не вижда неуспешна физическа връзка, тъй като връзката между LAN превключвателя и IP телефона се поддържа. За да се избегне компрометиране на целостта на мрежата, IP телефонът изпраща съобщение EAPOL-Logoff до превключвателя от името на компютъра надолу по веригата, което задейства LAN превключвателя за изчистване на записа за удостоверяване за компютъра надолу по веригата.

Поддръжката за удостоверяване с 802.1X изисква няколко компонента:

• Cisco IP телефон: Телефонът инициира искане за достъп до мрежата. Cisco IP телефон съдържа supplicant 802.1X. Този supplicant позволява на мрежовите администратори да контролират свързването на IP телефони към портовете за превключване на LAN. Текущата версия на supplicant на телефон 802.1X използва опциите EAP-FAST и EAP-TLS за удостоверяване на мрежата.

• Сървър за удостоверяване: Сървърът за удостоверяване и превключвателят трябва да са конфигурирани с споделена тайна, която удостоверява телефона.

• Превключване: Превключвателят трябва да поддържа 802.1X, така че да може да действа като удостоверител и да предава съобщенията между телефона и сървъра за удостоверяване. След като обменът завърши, превключвателят предоставя или отказва достъп на телефона до мрежата.

За да конфигурирате 802.1X, трябва да извършите следните действия.

• Конфигурирайте другите компоненти, преди да активирате удостоверяване с 802.1X на телефона.

• Конфигуриране на PC порт: Стандартът 802.1X не взема предвид VLAN мрежите и препоръчва само едно устройство да бъде удостоверено за конкретен порт за превключване. Някои превключватели обаче поддържат удостоверяване с много домейни. Конфигурацията на превключвателя определя дали можете да свържете компютър към компютърния порт на телефона.

  • Активирано: Ако използвате превключвател, който поддържа удостоверяване с много домейни, можете да активирате компютърен порт и да свържете компютър към него. В този случай Cisco IP телефон поддържа прокси сървър EAPOL-Logoff за наблюдение на обмена на удостоверяване между превключвателя и прикачения компютър.

    За повече информация относно поддръжката на IEEE 802.1X на превключвателите на Cisco Catalyst вижте ръководствата за конфигуриране на превключватели на Cisco Catalyst на адрес:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Деактивирано: Ако превключвателят не поддържа няколко съвместими с 802.1X устройства в един и същ порт, трябва да деактивирате PC порта, когато е активирано удостоверяване с 802.1X. Ако не деактивирате този порт и след това се опитате да прикачите компютър към него, превключвателят отказва достъп до мрежата както на телефона, така и на компютъра.

• Конфигуриране на гласова VLAN: Тъй като стандартът 802.1X не отчита VLAN, трябва да конфигурирате тази настройка въз основа на поддръжката на превключвателя.
  • Активирано: Ако използвате превключвател, който поддържа удостоверяване с много домейни, можете да продължите да използвате гласовата VLAN.
  • Деактивирано: Ако превключвателят не поддържа удостоверяване с много домейни, деактивирайте Voice VLAN и помислете за задаване на порта към основната VLAN.
• (Само за Cisco Desk Phone серия 9800)

  Настолният телефон на Cisco серия 9800 има различен префикс в PID от този за другите телефони Cisco. За да разрешите на телефона ви да преминава удостоверяване с 802.1X, задайте параметъра Radius·User-Name да включва настолния телефон Cisco 9800.

  Например PID на телефон 9841 е DP-9841; можете да зададете Radius·User-Name да започва с DP или Съдържа DP. Можете да го зададете в следните раздели:

  • Правила > Условия > Условия на библиотеката

  • Правила > Набори от правила > Правила за упълномощаване > Правило 1 за упълномощаване

Когато защитата се прилага за телефона, можете да идентифицирате защитените телефонни повиквания чрез икони на екрана на телефона. Освен това можете да определите дали свързаният телефон е защитен и защитен, ако в началото на повикването се възпроизвежда тон за защита.

При защитено повикване всички сигнализиращи за повиквания и мултимедийни потоци са шифровани. Защитеното повикване предлага високо ниво на защита, което осигурява цялост и поверителност на повикването. Когато е шифровано повикване в ход, можете да видите защитената икона на линията. За защитен телефон можете също да видите удостоверената икона или шифрованата икона до свързания сървър в телефонното меню (Настройки > За това устройство).

При защитено повикване в началото на повикването се възпроизвежда тон за защита, за да указва, че другият свързан телефон също получава и предава защитено аудио. Ако повикването се свърже към незащитен телефон, тонът за защита не се възпроизвежда.

Когато телефонът е конфигуриран като защитен (шифрован и надежден) в Cisco Unified Communications Manager, той може да получи защитен статус. След това, ако е необходимо, защитеният телефон може да бъде конфигуриран да възпроизвежда предупредителен тон в началото на повикване:

• Защитено устройство: За да промените състоянието на защитен телефон, поставете отметка в квадратчето „Защитено устройство“ в прозореца „Конфигуриране на телефона“ в Cisco Unified Communications Manager Administration (Устройство > Телефон).

• Възпроизвеждане на тон за сигурна индикация: За да разрешите на защитения телефон да възпроизвежда защитен или незащитен тон за индикация, задайте настройката за възпроизвеждане на защитен тон за индикация на True. По подразбиране тонът за възпроизвеждане на защитено индикация е зададен на „Невярно“. Можете да зададете тази опция в Cisco Unified Communications Manager Administration (Система > Параметри на услугата). Изберете сървъра и след това услугата Unified Communications Manager. В прозореца за конфигуриране на параметър на услугата изберете опцията в областта Функция - защитен тон. Стойността по подразбиране е „невярно“.

Тъй като всички WLAN устройства, които са в диапазона, могат да получават целия друг WLAN трафик, защитата на гласовите комуникации е от решаващо значение за WLAN. За да е сигурно, че нарушителите не манипулират и не прехващат гласовия трафик, архитектурата SAFE Security на Cisco поддържа телефона. За повече информация относно защитата в мрежите вижте http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Решението за безжична IP телефония на Cisco осигурява защита на безжичната мрежа, която предотвратява неупълномощени влизания и компрометирани комуникации, като използва следните методи за удостоверяване, поддържани от телефона:

• Отваряне на удостоверяването: Всяко безжично устройство може да поиска удостоверяване в отворена система. Точката за достъп, която получава заявката, може да предостави удостоверяване на всеки заявител или само на заявителите, които са намерени в списък с потребители. Комуникацията между безжичното устройство и точката за достъп (AP) може да не е шифрована.

• Разширяем протокол за удостоверяване – гъвкаво удостоверяване чрез удостоверяване със защитен тунелинг (EAP-FAST): Тази архитектура за защита клиент-сървър шифрова EAP транзакциите в рамките на тунела за защита на транспортно ниво (TLS) между AP и сървъра RADIUS, като Identity Services Engine (ISE).

  TLS тунелът използва идентификационни данни за защитен достъп (PAC) за удостоверяване между клиента (телефона) и сървъра RADIUS. Сървърът изпраща ИД на орган (AID) на клиента (телефона), който от своя страна избира подходящата PAC. Клиентът (телефон) връща PAC-Opaque към сървъра RADIUS. Сървърът дешифрова PAC с главния ключ. И двете крайни точки вече съдържат ключа PAC и се създава TLS тунел. EAP-FAST поддържа автоматично обезпечаване на PAC, но трябва да го активирате на сървъра RADIUS.

  В ISE по подразбиране срокът на PAC изтича след една седмица. Ако телефонът има изтекъл PAC, удостоверяването със сървъра RADIUS отнема повече време, докато телефонът получи нов PAC. За да избегнете закъснения при осигуряването на PAC, задайте периода на изтичане на PAC на сървъра ISE или RADIUS на 90 дни или повече.

• Удостоверяване с разширен протокол за удостоверяване – транспортна защита на слоя (EAP-TLS): EAP-TLS изисква сертификат на клиент за удостоверяване и достъп до мрежата. За безжични EAP-TLS сертификатът на клиента може да бъде MIC, LSC или сертификат, инсталиран от потребителя.

• Защитен разширителен протокол за удостоверяване (PEAP): Схема за взаимно удостоверяване на базата на лична парола на Cisco между клиента (телефона) и сървъра RADIUS. Телефонът може да използва PEAP за удостоверяване с безжичната мрежа. Поддържат се както PEAP-MSCHAPV2, така и PEAP-GTC методи за удостоверяване.

• Предварително споделен ключ (PSK): Телефонът поддържа формат ASCII. Трябва да използвате този формат, когато настройвате предварително споделен ключ WPA/WPA2/SAE:

  ASCII: ASCII-знаков низ с дължина от 8 до 63 знака (0 – 9, малки и главни букви A – Z и специални знаци)

  Пример: GREG123567@ 9ZX&W

Следните схеми за удостоверяване използват сървъра RADIUS за управление на ключове за удостоверяване:

• wpa/ wpa2/ wpa3: Използва информация за сървъра RADIUS за генериране на уникални ключове за удостоверяване. Тъй като тези ключове се генерират в централизирания RADIUS сървър, WPA2/WPA3 осигурява по-голяма защита от WPA предварително заредените ключове, които се съхраняват на AP и телефона.

• Бърз защитен роуминг: Използва RADIUS сървър и информация за безжичен домейн сървър (WDS) за управление и удостоверяване на ключове. WDS създава кеша от идентификационни данни за защита за активирани от FT клиентски устройства за бързо и сигурно повторно удостоверяване. Настолен телефон Cisco 9861 и 9871 и Cisco Video Phone 8875 поддържат 802.11r (FT). Поддържат се както по въздух, така и по DS, за да се даде възможност за бърз и сигурен роуминг. Но силно препоръчваме да използвате метода 802.11r (FT) над въздуха.

С WPA/WPA2/WPA3 ключовете за шифроване не се въвеждат на телефона, но се извличат автоматично между точката за достъп и телефона. Но потребителското име и паролата за EAP, които се използват за удостоверяване, трябва да бъдат въведени на всеки телефон.

За да се гарантира, че гласовият трафик е защитен, телефонът поддържа TKIP и AES за шифроване. Когато тези механизми се използват за шифроване, както сигналните SIP пакети, така и пакетите за гласовия транспорт в реално време (RTP) се шифроват между AP и телефона.

tkip

WPA използва TKIP шифроване, което има няколко подобрения спрямо WEP. TKIP осигурява шифроване на ключове за всеки пакет и по-дълги вектори на инициализация (IV), които укрепват шифроването. Освен това проверката за цялост на съобщението (MIC) гарантира, че шифрованите пакети не се променят. TKIP премахва предвидимостта на WEP, което помага на нарушителите да дешифрират ключа WEP.

aes

Метод за шифроване, използван за удостоверяване WPA2/WPA3. Този национален стандарт за шифроване използва симетричен алгоритъм, който има един и същ ключ за шифроване и дешифриране. AES използва шифроване с размер 128 бита (CBC), което поддържа най-малко 128 бита, 192 бита и 256 бита. Телефонът поддържа размер на ключа 256 бита.

В безжичната LAN мрежа са настроени схеми за удостоверяване и шифроване. VLAN мрежите се конфигурират в мрежата и на точката за достъп и указват различни комбинации от удостоверяване и шифроване. SSID се свързва с VLAN и конкретната схема за удостоверяване и шифроване. За да се удостоверят успешно безжичните клиентски устройства, трябва да конфигурирате едни и същи SSID с техните схеми за удостоверяване и шифроване на AP и на телефона.

Някои схеми за удостоверяване изискват специфични типове шифроване.

Схемите за удостоверяване и шифроване в следващата таблица показват опциите за конфигуриране на мрежата за телефона, който съответства на конфигурацията на AP.

Assured Services SIP(AS-SIP) е колекция от функции и протоколи, които предлагат високозащитен поток от повиквания за Cisco IP телефони и телефони на трети страни. Следните функции са известни като AS-SIP:

• Предимство и предимство на много нива (MLPP)
• Точка с код за диференцирани услуги (DSCP)
• Защита на транспортния слой (TLS) и защитен транспортен протокол в реално време (SRTP)
• Internet Protocol версия 6 (IPv6)

AS-SIP често се използва с предимство и приоритизиране на много нива (MLPP) за приоритизиране на повикванията по време на спешен случай. С MLPP задавате ниво на приоритет на вашите изходящи повиквания – от ниво 1 (ниско) до ниво 5 (високо). Когато получите повикване, на телефона се показва икона за ниво на приоритет, която показва приоритета на повикването.

За да конфигурирате AS-SIP, изпълнете следните задачи в Cisco Unified Communications Manager:

• Конфигуриране на обобщен потребител – Конфигуриране на крайния потребител да използва обобщено удостоверяване за SIP заявки.
• Конфигуриране на защитен порт за SIP телефон – Cisco Unified Communications Manager използва този порт за слушане на SIP телефони за регистрации на SIP линии през TLS.
• Рестартиране на услугите – след конфигуриране на защитения порт рестартирайте услугите на Cisco Unified Communications Manager и Cisco CTL Provider. Конфигуриране на SIP профил за AS-SIP – Конфигуриране на SIP профил със SIP настройки за вашите крайни точки за AS-SIP и за вашите съединителни линии за SIP. Специфичните за телефона параметри не се изтеглят на AS-SIP телефон на трети страни. Използват се само от Cisco Unified Manager. Телефоните на трети страни трябва да конфигурират едни и същи настройки локално.
• Конфигуриране на профил за защита на телефона за AS-SIP – можете да използвате профила за защита на телефона, за да зададете настройки за защита, като TLS, SRTP и хеширано удостоверяване.
• Конфигуриране на крайна точка за AS-SIP—Конфигуриране на Cisco IP телефон или крайна точка на трета страна с поддръжка на AS-SIP.
• Свързване на устройство с краен потребител – Свързване на крайната точка с потребител.
• Конфигуриране на профил за защита на SIP Trunk за AS-SIP – можете да използвате профила за защита на SIP багажника, за да зададете функции за защита, като TLS или хеширано удостоверяване към SIP багажник.
• Конфигуриране на SIP Trunk за AS-SIP—Конфигуриране на SIP багажник с поддръжка на AS-SIP.
• Конфигуриране на AS-SIP функции – Конфигуриране на допълнителни AS-SIP функции, като MLPP, TLS, V.150 и IPv6.

За подробна информация относно конфигурирането на AS-SIP вижте главата „Конфигуриране на AS-SIP крайни точки“ в Ръководство за конфигуриране на функции за Cisco Unified Communications Manager.

Когато на телефона са конфигурирани кодове за принудително упълномощаване (FAC) или кодове за проблем на клиента (CMC), или и двете, потребителите трябва да въведат необходимите пароли, за да наберат номер.

За повече информация как да настроите FAC и CMC в Cisco Unified Communications Manager, вижте главата „Кодове за проблем на клиента и кодове за принудително упълномощаване“ в Ръководство за конфигуриране на функции за Cisco Unified Communications Manager, издание 12.5(1) или следващи.